windows10做nas服务器(不要矿渣，无需虚拟机——Windows 10 变身轻量 NAS)

不要矿渣，无需虚拟机——Windows 10 变身轻量 NAS

拥有一台专用的 NAS 确实能为工作、生活带来很多便利。不过对于很多轻量需求的人来说，购买商业成品 NAS 价格上不太能接受，而 DIY 方案又需要接触各种 IT 技能，力有不逮。那么就由老司机带路，教你使用 Windows 10 系统自带功能，满足轻量网络存储需求。重要说明由于是基于普通 PC，而且以并非 24 小时开机为前提，所以这个方案只能解决一些轻量问题，比如日常文档，体积不大的资料备份。无法满足大体积文件、大量多媒体视频、高读写这些应用场景。如果觉得 Windows 的图形操作也麻烦的话，请直接打开京东下单购买群晖。

NAS

NAS（Network Attached Storage），意为网络附属存储，因此首先需要做的就是将 Windows 搭建为可以网络访问的存储设备。WebDAV为了后续的公网访问，这里不使用 SMB 的方式，而是选择 WebDAV。虽然性能比不上最新的 SMBv4 协议，但是比 FTP 协议强得多，而且基于 HTTP 协议，可以很方便的实现公网访问。应用支持方面，MS Office 在各个平台可以很方便的访问 WebDAV，而移动平台无论是 Android 还是 iOS 都有很多应用有着良好的 WebDAV 支持。

Windows 10 的 IIS 模块就可以提供 WebDAV 功能，通过【控制面板】->【程序与功能】中【启用或关闭 Windows 功能】即可完成基本的安装。

启用或关闭 Windows 功能勾选需要安装的模块，首先是 【Internet Information Services】节点，还有【万维网服务】->【安全性】中的【基本身份认证】，【常见 HTTP 功能】中的【WebDAV 发布】

安装 IIS安装完成后，可以在浏览器中打开 http://localhost页面，如果出现以下页面，就表示 IIS 已经安装成功并运行起来了。

IIS 默认页面接下来要配置 WebDAV 功能，需要用到 【Internet Information Services (IIS)管理器】，可以在【管理工具】中找到，也可以直接通过 Windows 搜索功能搜索 IIS 关键字找到。

打开 IIS 管理器之后就能看到已经存在的默认站点【Default Web Site】。

默认站点

首先需要调整【身份验证】方式，由于可能会公网访问，所以需要关闭匿名认证方式，以免发生数据安全问题。

选择【Default Web Site】站点，然后进入【身份验证】的配置页面，需要进行两步操作：首先禁用【匿名身份认证】，然后启用【基本身份认证】。

注意：关闭【匿名身份认证】后，再打开默认主页会弹出输入框要求输入账号密码才能访问。

身份验证

接着需要开启站点的 WebDAV 功能，进入【WebDAV 创作规则】的配置页面，首先【启用 WebDAV】，然后【添加创作规则】

启用 WebDAV添加【创作规则】时需要注意，为了安全起见，不要使用默认的系统管理员账号 administrator ，并且最好指定用户组或者用户，根据需要勾选权限，一般个人使用，勾选全部权限即可。

WebDAV 创作规则到这里，如果应用支持 HTTP 方式的 WebDAV 那么在访问时输入用户名与密码就可以直接访问了。

注意： Windows 10 本身默认只支持 HTTPS 方式的访问 WebDAV，需要通过修改注册表来支持 HTTP 方式访问 WebDAV。配置存储

默认站点的根路径处于系统盘下的一个目录，作为存储来用的话，显然这样是不合适的。

所以，首先需要修改站点默认的物理路径。选择站点后，可以通过【基本设置】来修改站点的默认物理路径。

基本设置

修改默认的路径后，又有一个新问题。很多情况下，并不能把所有文件都存储到同一个目录下。

这里可以通过【虚拟目录】来解决。【虚拟目录】是指访问路径与【物理路径】并不相同。

例如：访问地址为 http://localhost/Document，Document 就是一个【虚拟路径】实际的【物理路径】是在 D:Document 中。

虚拟目录

虚拟目录

实际目录的名称可以与【别名】不同，可以在 D 盘建立文件夹 Photo，但是【虚拟目录】【别名】设置为 images，可以根据需要区分文档、照片等目录方便管理文件。

注意：【WebDAV 创作规则】中也可以根据目录来设置不同的权限，实现简单的管理功能。网络访问Windows 10 默认会开启网络防火墙，由于后面配置 WebDAV HTTPS 公网访问时还需要修改默认的 443 端口，系统默认防火墙规则会阻止，造成只能在本机上访问。当然，想方便的话可以关闭系统防火墙解决，这里给提供在不关闭系统防火墙的前提下的配置方法。

注意：如果会长期开放外网访问，不要使用默认端口，并且加强密码复杂度。出于篇幅限制，无法给出详细的安全应对配置与排查方法。

防火墙规则右键点击桌面上的【网络】->【属性】->【Windows Defender 防火墙】，或者直接通过 Windows 搜索 【Windows Defender 防火墙】，然后进入【高级设置】功能页面。

高级防火墙需要添加一条入站规则来解决网络访问限制，选择【入站规则】然后点击【新建规则】。在规则设置向导中，选择【规则类型】为【自定义】，【程序】选择【所有程序】，【协议和端口】选择【所有协议】，【作用域】配置中【规则应用于那些远程 IP 地址】，选择【下列地址】，然后点击【添加】，将【预定义计算机集】项目选择为【本地子网】。

配置规则【操作】选择【允许连接】，后续选项保持默认即可。由于这条规则的作用是允许本地子网访问计算机所有端口，因此命名时最好在描述中添加说明内容。

配置规则HTTPS 访问

由于 HTTP 属于明文协议，仅仅是内网使用，如果客户端支持的话，使用并没有问题。但是出于安全考量，有些客户端并不支持 HTTP 方式访问 WebDAV，而且直接开放到公网也确实有安全隐患。这里以花生壳为例，为 WebDAV 配置 HTTPS 证书，如果使用其他方式的内网穿透或者映射，也可以参考一下。

需要下载工具【Certify SSL Manager】，免费版只能管理一个域名，但足够满足一般情况，而且软件大部分也是中文，使用起来很方便。安装花生壳客户端并且确认开启内网穿透服务，首先需要添加一个 HTTP80 端口的映射，内网主机 IP 填写 127.0.0.1 端口填写 80。

花生壳映射

注意：本机 IP 填写为 127.0.0.1 的前提是花生壳客户端于 IIS 服务安装在同一台机器上，否则就需要填写 IIS 服务所在主机的内网 IP。

打开安装好的【Certify SSL Manager】，点击【新建证书】，程序会自动识别安装好的 IIS 服务与站点，选择站点并填写花生壳域名添加，然后点击保存。

Certify SSL Manager配置完成后，可以先通过【测试】来确定所有配置是否正常，如果测试通过就可以点击【请求证书】来申请证书。

软件默认会完成证书申请、安装等操作，操作成功后可以在 IIS 中查看。

注意：免费域名证书只有 90 天有效期，需要在有效期到达之前更新证书，只需要再次运行【Certify SSL Manager】操作即可完成。在【Internet Information Services (IIS)管理器】中，通过配置站点绑定可以启用 HTTPS访问。可以看到，证书已经申请并识别到了，在【主机名】中输入花生壳域名，然后选择好对应证书，保持端口为默认的 443，添加好绑定。

https 绑定在花生壳内网穿透中添加第二个映射规则，选择映射类型为【应用类】，内网主机 IP 为 127.0.0.1 ，端口为 443。

内网映射添加完成后花生壳会动态分配一个端口，记下这个端口号，重新配置映射规则，将内网端口修改为花生壳外网端口一致，然后在 IIS 站点绑定监听端口也修改为同样的端口号。

端口绑定

内网端口最后，在路由器上配置域名解析，这样做之后，无论访问 WebDAV 的设备是在局域网内还是外网，都可以保持配置一致，无需更改。注意：如果在路由器上设置解析，内网主机需要指定 DNS 服务器为路由器，并且内网设备上花生壳诊断结果会有解析 IP 与映射 IP 不一致的异常警告，需要自己判断是否正常。

路由器设置到这一步，就可以使用 Windows 10 自带的【映射网络驱动器】功能来将 WebDAV 映射为本地驱动器，地址需要使用 https://example.eicp.net:45213输入账号密码后，就可以访问操作文件了。

映射网络驱动器注意：文中所有提到的花生壳域名和端口需要根据实际情况进行修改，不可直接复制。

文件安全

数据备份有 “321原则”——三份备份，两种介质，一份异地。作为轻量级方案，只能提供一下思路和方法，需要根据自己能接受的成本与复杂程度来选择具体的方案。

文件历史记录通过安装 IIS 服务并配置 WebDAV 实现了网络存储访问，但是数据安全问题还是没有解决。同样，可以利用 Windows 10 自带的【文件历史记录】功能来实现。

首先需要对系统默认的备份策略进行一些定制，否则可能会产生大量的备份文件，或者备份不需要备份的文件。

通过 Windows 系统搜索 【备份设置】打开设置页面，并进入【更多选项】中，注意，先不要开启【自动备份我的文件】功能。

备份设置显然默认配置下备份的文件并不满足需要，这里就需要将不需要备份的目录删除掉，或者配置一些排除目录。添加备份介质可以直接利用外接移动硬盘，或者其他可以通过网络访问的存储设备。如果没有移动需求，那么购买一个硬盘盒底座加上大容量 3.5 寸硬盘是个性价比很高的选择。

【文件历史记录】的备份机制是增量机制，是将文件保存到选择的备份介质中。同步间隔和保留时间可以根据需要配置，但是过短的间隔会造成一些问题。

备份选项注意：虽然可以直接使用映射的 WebDAV 设备作为备份盘，但是因为是同一设备，一旦磁盘损坏，无法起到备份的作用。设置完成后，在配置好备份的目录或者文件属性中就可以查看到历史版本，并且可以将历史版本恢复到指定路径。

文件历史记录也可以通过【在文件记录历史中打开】功能查看文件夹或者文件的变更历史，并恢复指定版本。实际备份的文件都是直接保存在备份盘中，可以直接查看文件的方式管理，无需担心格式问题。但是切记备份间隔不可过短，以免影响系统性能。

文件历史记录同步软件Windows 平台最大的好处就应用可以很方便的找到各种同步软件，来实现异地备份。常见的各种网盘客户端就可以很轻松的实现，根据需要选择即可。

这里推荐 FileGee，同样有免费版本，虽然有一些限制，但是足够满足一般应用。

具体功能可以安装后摸索。软件绿色无捆绑，良心国产软件，有需求可以购买付费版本支持。为啥要推荐整个软件，最主要的原因是支持【移动存储设备接入时自动执行任务】，非常方便。

移动存储备份同时它还支持百度网盘和 OneDriver 备份，可以不用安装百度网盘客户端。如果购买付费版本，可以完全替代系统自带的【文件历史记录】功能，可以实现灵活的备份策略。

网盘支持移动平台

移动平台主要是看应用对 WebDAV 的支持是否完善，iOS 与 Android 上都有很多应用支持。需要注意，请确保按照本文做法，保证外部端口与 IIS 服务监听端口一致，再加上路由器上配置 DNS 解析。

这样同一个配置可以在公网与内网使用，无需且换，在内网时不会产生外网流量，也不依赖花生壳服务。注意：截止本文写作时，Android 上 FolderSync 在修改 HTTPS 默认端口的情况下，同步会报错，无法完成同步，但其他 App （Synchronize Ultimate）可以正常同步。修改为默认端口（443）时后同步正常，可以判断为应用本身问题，已经提交问题到开发商。收尾工作如果成功完成上面的操作，并且一切工作正常的话，那么需要一点收尾工作。

注意：以下操作需要选择 【Internet Information Services (IIS)管理器】根节点进行设置。日志处理

IIS 默认情况下会将日志保存在系统目录，需要将这些日志转移到别的目录。由于这些日志可以为后续出现问题排查时提供线索，所以不太建议关闭日志。

IIS 日志请求限制

默认设置下 IIS 有着上传文件大小的限制。默认为 30000000 Byte 字节，换算成 MB 的话为 30MB，加个 0 就是 300 MB。但是由于协议本身的一些限制，大文件传输时间过长时会产生一些问题（显然不支持续传），所以即便修改了大小限制，最终能否上传成功还需要看带宽。也正因为这些原因，大体积文件、高读写、视频等场景，建议还是用内网 SMB 解决。

请求筛选安全问题

群晖的登陆页面中如果连续输入密码错误，会在一定时间内阻止尝试，但 IIS 并没有自带类似的功能。虽然Windows Server 中有着连续错误密码就禁用用户的安全策略，但是不能解决问题——禁用用户的结果就是都没法用。

从安全考量，有以下几点建议：不要使用默认的系统管理员账号作为WebDAV指定用户

映射端口不要使用默认端口

更新系统安全补丁